listas de control de acceso y vlan-cap upla-2009
TRANSCRIPT
X CAP UPLA
Ing. William Marchand N. 1
LISTAS DE CONTROL DE ACCESO
¿Qué son las ACL?
Las ACL son listas de condiciones que se aplican al tráfico que viaja a través de la
interfaz del router. Estas listas le informan al router qué tipo de paquetes aceptar o
rechazar. La aceptación y rechazo se pueden basar en ciertas condiciones específicas.
Las ACL permiten la administración del tráfico y aseguran el acceso hacia y desde una red.
Es posible crear ACL en todos los protocolos de red enrutados, por ejemplo: el
Protocolo de Internet (IP) y el Intercambio de paquetes de internetwork (IPX). Las ACL se pueden configurar en el router para controlar el acceso a una red o subred.
Las ACL filtran el tráfico de red, controlando si los paquetes enrutados se envían o se
bloquean en las interfaces del router. El router examina cada paquete y lo enviará o
lo descartará, según las condiciones especificadas en la ACL. Algunos de los puntos de
decisión de ACL son direcciones origen y destino, protocolos y números de puerto de capa superior.
Las ACL se definen según el protocolo, la dirección o el puerto. Para controlar el
flujo de tráfico en una interfaz, se debe definir una ACL para cada protocolo habilitado
en la interfaz. Las ACL controlan el tráfico en una dirección por vez, en una interfaz.
Se necesita crear una ACL por separado para cada dirección, una para el tráfico
entrante y otra para el saliente. Finalmente, cada interfaz puede contar con varios
protocolos y direcciones definidas. Si el router tiene dos interfaces configuradas para
IP, AppleTalk e IPX, se necesitan 12 ACLs separadas. Una ACL por cada protocolo,
multiplicada por dos por dirección entrante y saliente, multiplicada por dos por el número de puertos.
Estas son las razones principales para crear las ACL:
Limitar el tráfico de red y mejorar el rendimiento de la red. Al restringir el
tráfico de video, por ejemplo, las ACL pueden reducir ampliamente la carga de
la red y en consecuencia mejorar el rendimiento de la misma.
Brindar control de flujo de tráfico. Las ACL pueden restringir el envío de las
actualizaciones de enrutamiento. Si no se necesitan actualizaciones debido a
las condiciones de la red, se preserva el ancho de banda.
Proporcionar un nivel básico de seguridad para el acceso a la red. Por ejemplo,
las ACL pueden permitir que un host acceda a una parte de la red y evitar que
otro acceda a la misma área. Por ejemplo, al Host A se le permite el acceso a la
red de Recursos Humanos, y al Host B se le niega el acceso a dicha red.
Se debe decidir qué tipos de tráfico se envían o bloquean en las interfaces del
router. Permitir que se enrute el tráfico de correo electrónico, pero bloquear
todo el tráfico de telnet.
Permitir que un administrador controle a cuáles áreas de la red puede acceder
un cliente.
Analizar ciertos hosts para permitir o denegar acceso a partes de una red.
Otorgar o denegar permiso a los usuarios para acceder a ciertos tipos de archivos, tales como FTP o HTTP.
Si las ACL no están configuradas en el router, todos los paquetes que pasen a través del router tendrán acceso a todas las partes de la red
X CAP UPLA
Ing. William Marchand N. 2
X CAP UPLA
Ing. William Marchand N. 3
Funcionamiento de las ACL
Una lista ACL es un grupo de sentencias que definen si se aceptan o rechazan los
paquetes en interfaces entrantes o salientes. Estas decisiones se toman haciendo
coincidir una sentencia de condición en una lista de acceso y luego realizando la acción de aceptación o rechazo definida en la sentencia.
El orden en el que se ubican las sentencias de la ACL es importante. El software Cisco
IOS verifica si los paquetes cumplen cada sentencia de condición, en orden, desde la
parte superior de la lista hacia abajo. Una vez que se encuentra una coincidencia, se
lleva a cabo la acción de aceptar o rechazar y no se verifican otras sentencias ACL. Si
una sentencia de condición que permite todo el tráfico está ubicada en la parte
superior de la lista, no se verifica ninguna sentencia que esté por debajo.
Si se requieren más cantidad de sentencias de condición en una lista de acceso, se
debe borrar y volver a crear toda la ACL con las nuevas sentencias de condición.
Para que el proceso de revisión de una ACL sea más simple, es una buena idea utilizar un editor de textos como el Bloc de notas y pegar la ACL a la configuración del router.
El principio del proceso de comunicaciones es el mismo, ya sea que las ACL se usen o
no. A medida que una trama ingresa a una interfaz, el router verifica si la dirección
de Capa 2 concuerda o si es una trama de broadcast. Si se acepta la dirección de la
trama, la información de la trama se elimina y el router busca una ACL en la interfaz
entrante. Si existe una ACL, entonces se verifica si el paquete cumple o no las
condiciones de la lista. Si el paquete cumple las condiciones, se lleva a cabo la acción
de aceptar o rechazar el paquete. Si se acepta el paquete en la interfaz, se lo compara
con las entradas de la tabla de enrutamiento para determinar la interfaz destino y
conmutarlo a aquella interfaz. A continuación, el router verifica si la interfaz destino
X CAP UPLA
Ing. William Marchand N. 4
tiene una ACL. Si existe una ACL, se compara el paquete con las sentencias de la lista
y si el paquete concuerda con una sentencia, se lleva a cabo la aceptación o el rechazo
del paquete. Si no hay ACL o se acepta el paquete, el paquete se encapsula en el
nuevo protocolo de Capa 2 y se envía por la interfaz hacia el dispositivo siguiente.
A manera de revisión, las sentencias de la ACL operan en orden secuencial lógico. Si
se cumple una condición, el paquete se permite o deniega, y el resto de las sentencias
de la ACL no se verifican. Si todas las sentencias ACL no tienen coincidencias, se
coloca una sentencia implícita que dice deny any (denegar cualquiera) en el extremo
de la lista por defecto. Aunque la línea deny any no sea visible como última línea de
una ACL, está ahí y no permitirá que ningún paquete que no coincida con las líneas
anteriores de la ACL sea aceptada. Cuando esté aprendiendo por primera vez cómo
crear una ACL, es una buena práctica agregar el deny any al final de las ACL para reforzar la presencia dinámica de la prohibición implícita deny
Creación de las ACL
Las ACL se crean en el modo de configuración global. Cuando se configuran las ACL en
el router, cada una debe identificarse de forma única. Por ello, se les asigna un
número. Después de crear una lista de acceso, se la debe asignar a la interfaz
correspondiente. Las ACL se asignan a una o más interfaces, y pueden filtrar el tráfico
entrante o saliente con el comando ip access-group. El comando ip access-group
se envía en el modo de configuración de la interfaz. Para asignar una lista de acceso a
una interfaz, se debe definir también la dirección del tráfico que filtrará la lista. El
tráfico que ingresa en una interfaz se filtra mediante una lista de acceso entrante. El
tráfico que sale de una interfaz se filtra mediante una lista de acceso saliente. Para
cambiar una ACL que contiene declaraciones ACL numeradas, se deben borrar todas
las declaraciones en la ACL numerada mediante el comando no access-list[list-
number].
Los pasos para configurar una ACL son los siguientes:
rt1(config)#access-list ?
<1-99> IP standard access list
<100-199> IP extended access list
<1000-1099> IPX SAP access list
<1100-1199> Extended 48-bit MAC address access list
<1200-1299> IPX summary address access list
<1300-1999> IP standard access list (expanded range)
<200-299> Protocol type-code access list
<300-399> DECnet access list
<600-699> Appletalk access list
<700-799> 48-bit MAC address access list
<800-899> IPX standard access list
X CAP UPLA
Ing. William Marchand N. 5
<900-999> IPX extended access list
<2000-2699> IP extended access list (expanded range)
rate-limit Simple rate-limit specific access list
Las ACL se crean en el modo de configuración global. Existen varias clases diferentes
de ACLs: estándar, extendidas, IPX, AppleTalk, entre otras. Cuando configure las ACL
en el router, cada ACL debe identificarse de forma única, asignándole un número. Este
número identifica el tipo de lista de acceso creado y debe ubicarse dentro de un rango
específico de números que es válido para ese tipo de lista.
Después de ingresar al modo de comando apropiado y que se decide el número de
tipo de lista, el usuario ingresa sentencias de lista de acceso utilizando el comando
access-list, seguida de los parámetros necesarios. Estando en el modo de comandos
adecuado y definido el tipo de número de lista, el usuario tipea las condiciones usando
el comando access-list seguido de los parámetros apropiados. Este es el primero de
un proceso de dos pasos. El segundo paso consiste en asignar la lista a la interfaz apropiada.
En TCP/IP, las ACL se asignan a una o más interfaces y pueden filtrar el tráfico
entrante o saliente, usando el comando ip access-group en el modo de configuración
de interfaz. Al asignar una ACL a una interfaz, se debe especificar la ubicación
entrante o saliente. Es posible establecer la dirección del filtro para verificar los
paquetes que viajan hacia dentro o fuera de una interfaz. Para determinar si la ACL
controla el tráfico entrante o saliente, el administrador de red necesita mirar las
interfaces como si se observara desde dentro del router. Este es un concepto muy
importante. Una lista de acceso entrante filtra el tráfico que entra por una interfaz y la
lista de acceso saliente filtra el tráfico que sale por una interfaz. Después de crear una
ACL numerada, se la debe asignar a una interfaz. Una ACL que contiene sentencias
ACL numeradas no puede ser alterada. Se debe borrar utilizando el comando no access-listlist-number y entonces proceder a recrearla.
Es necesario utilizar estas reglas básicas a la hora de crear y aplicar las listas de
acceso.
Una lista de acceso por protocolo y por dirección.
Se deben aplicar las listas de acceso estándar que se encuentran lo más cerca
posible del destino.
Se deben aplicar las listas de acceso extendidas que se encuentran lo más
cerca posible del origen.
Utilice la referencia de la interfaz entrante y saliente como si estuviera mirando
el puerto desde adentro del router.
Las sentencias se procesan de forma secuencial desde el principio de la lista
hasta el final hasta que se encuentre una concordancia, si no se encuentra
ninguna, se rechaza el paquete.
Hay un deny any (denegar cualquiera)implícito al final de todas las listas de
acceso. Esto no aparece en la lista de configuración.
Las entradas de la lista de acceso deben realizar un filtro desde lo particular a
lo general. Primero se deben denegar hosts específico y por último los grupos o
filtros generales.
Primero se examina la condición de concordancia. El permiso o rechazo se
examina SÓLO si la concordancia es cierta.
Nunca trabaje con una lista de acceso que se utiliza de forma activa.
Utilice el editor de texto para crear comentarios que describan la lógica, luego
complete las sentencias que realizan esa lógica.
X CAP UPLA
Ing. William Marchand N. 6
Siempre, las líneas nuevas se agregan al final de la lista de acceso. El comando
no access-listx elimina toda la lista. No es posible agregar y quitar líneas de
manera selectiva en las ACL numeradas.
Una lista de acceso IP envía un mensaje ICMP llamado de host fuera de alcance
al emisor del paquete rechazado y descarta el paquete en la papelera de bits.
Se debe tener cuidado cuando se descarta una lista de acceso. Si la lista de
acceso se aplica a una interfaz de producción y se la elimina, según sea la
versión de IOS, puede haber una deny any (denegar cualquiera) por defecto
aplicada a la interfaz, y se detiene todo el tráfico. Los filtros salientes no afectan al tráfico que se origina en el router local
Función de la máscara wildcard
Una máscara wildcard es una cantidad de 32-bits que se divide en cuatro octetos. Una
máscara wildcard se compara con una dirección IP. Los números uno y cero en la
máscara se usan para identificar cómo tratar los bits de la dirección IP
correspondientes. El término máscara wildcard es la denominación aplicada al proceso
de comparación de bits de máscara y proviene de una analogía con el "wildcard"
(comodín) que equivale a cualquier otro naipe en un juego de póquer. Las máscaras
wildcard no guardan relación funcional con las máscaras de subred. Se utilizan con
distintos propósitos y siguen distintas reglas. Las máscaras de subred y las máscaras
de wildcard representan dos cosas distintas al compararse con una dirección IP. Las
máscaras de subred usan unos y ceros binarios para identificar las porciones de red,
de subred y de host de una dirección IP. Las máscaras de wildcard usan unos y ceros
binarios para filtrar direcciones IP individuales o en grupos, permitiendo o rechazando
el acceso a recursos según el valor de las mismas. La única similitud entre la máscara
wildcard y la de subred es que ambas tienen 32 bits de longitud y se componen de unos y ceros.
Para evitar la confusión, se substituirán las X por 1 en los gráficos de máscaras
wildcard. La máscara se escribe como 0.0.255.255. Un cero significa que se deje pasar
el valor para verificarlo. Las X (1) significan impedir que se compare el valor.
Durante el proceso de máscara wildcard, la dirección IP en la sentencia de la lista de
acceso tiene la máscara wildcard aplicada a ella. Esto crea el valor de concordancia,
que se utiliza para comparar y verificar si esta sentencia ACL debe procesar un
paquete o enviarlo a la próxima sentencia para que se lo verifique. La segunda parte
del proceso de ACL consiste en que toda dirección IP que una sentencia ACL en
particular verifica, tiene la máscara wildcard de esa sentencia aplicada a ella. El
resultado de la dirección IP y de la máscara debe ser igual al valor de concordancia de la ACL ACL
Hay dos palabras clave especiales que se utilizan en las ACL, las opciones any y host.
Para explicarlo de forma sencilla, la opción any reemplaza la dirección IP con 0.0.0.0 y
la máscara wildcard por 255.255.255.255. Esta opción concuerda con cualquier
dirección con la que se la compare. La máscara 0.0.0.0 reemplaza la opción host.
Esta máscara necesita todos los bits de la dirección ACL y la concordancia de dirección del paquete. Esta opción sólo concuerda con una dirección
X CAP UPLA
Ing. William Marchand N. 7
Verificación de las ACL
Existen varios comandos show que verifican el contenido y ubicación de las ACL en el
router.
El comando show ip interface muestra información de la interfaz IP e indica si se ha
establecido alguna ACL. El comando show access-lists muestra el contenido de
todas las ACL en el router. Para ver una lista específica, agregue el nombre o
número ACL como opción a este comando. El comando show running-config
también revela las listas de acceso en el router y la información de asignación de interfaz.
Estos comandos show verifican los contenidos y ubicación de las listas. También se
recomienda verificar las listas de acceso usando tráfico de ejemplo para asegurarse
que la lógica de la lista de acceso sea correcta.
X CAP UPLA
Ing. William Marchand N. 8
ACL estándar
Las ACL estándar verifican la dirección origen de los paquetes IP que se deben
enrutar. Con la comparación se permite o rechaza el acceso a todo un conjunto de
protocolos, según las direcciones de red, subred y host. Por ejemplo, se verifican los
paquetes que vienen en Fa0/0 para establecer la dirección origen y el protocolo. Si se
les otorga el permiso, los paquetes se enrutan a través del router hacia una interfaz de salida. Si se les niega el permiso, se los descarta en la interfaz entrante.
En la versión 12.0.1 del IOS de Cisco, se usaron por primera vez números adicionales
(1300 al 1999) para las ACLs estándar pudiendo así proveer un máximo posible de
798 ACLs estándar adicionales, a las cuales se les conoce como ACLs IP expandidas.
(también entre 1300 y 1999 en IOS recientes) En la primera sentencia ACL, cabe
notar que no hay máscara wildcard. En este caso donde no se ve ninguna lista, se
utiliza la máscara por defecto, que es la 0.0.0.0. Esto significa que toda la dirección
debe concordar o que esta línea en la ACL no aplica y el router debe buscar una concordancia en la línea siguiente de la ACL.
La sintaxis completa del comando ACL estándar es:
Router(config)#access-listaccess-list-number {deny | permit | remark} source
[source-wildcard ] [log]
El uso de remark facilita el entendimiento de la lista de acceso. Cada remark está
limitado a 100 caracteres. Por ejemplo, no es suficientemente claro cual es el
propósito del siguiente comando:
access-list 1 permit 171.69.2.88
X CAP UPLA
Ing. William Marchand N. 9
Es mucho mas fácil leer un comentario acerca de un comando para entender sus
efectos, así como sigue:
access-list 1 remark Permit only Jones workstation through
access-list 1 permit 171.69.2.88
La forma no de este comando se utiliza para eliminar una ACL estándar. Ésta es la
sintaxis:
Router(config)#no access-listaccess-list-number
El comando ip access-group relaciona una ACL existente a una interface:
Router(config)#ip access-group {access-list-number | access-list-name} {in | out}
La tabla muestra descripciones de los parámetros utilizados en esta sintaxis
X CAP UPLA
Ing. William Marchand N. 10
ACL extendidas
Las ACL extendidas se utilizan con más frecuencia que las ACL estándar porque
ofrecen un mayor control. Las ACL extendidas verifican las direcciones de paquetes de
origen y destino, y también los protocolos y números de puerto. Esto ofrece mayor
flexibilidad para establecer qué verifica la ACL. Se puede permitir o rechazar el acceso
de los paquetes según el lugar donde se originó el paquete y su destino así como el
tipo de protocolo y direcciones de puerto. Una ACL extendida puede permitir el tráfico
de correo electrónico de Fa0/0 a destinos específicos S0/0, al mismo tiempo que
deniega la transferencia de archivos y la navegación en la red. Una vez descartados
los paquetes, algunos protocolos devuelven un paquete al emisor, indicando que el destino era inalcanzable.
Es posible configurar múltiples sentencias en una sola ACL. Cada una de estas
sentencias debe tener el mismo número de lista de acceso, para poder relacionar las
sentencias con la misma ACL. Puede haber tanta cantidad de sentencias de condición
como sean necesarias, siendo la única limitación la memoria disponible en el router.
Por cierto, cuantas más sentencias se establezcan, mayor será la dificultad para comprender y administrar la ACL.
La sintaxis de una sentencia ACL extendida puede ser muy extensa y a menudo, se
vuelve engorrosa en la ventana terminal. Las wildcards también tienen la opción de
utilizar las palabras clave host o any en el comando.
Al final de la sentencia de la ACL extendida, se obtiene más precisión con un campo
que especifica el Protocolo para el control de la transmisión (TCP) o el número de
puerto del Protocolo de datagrama del usuario (UDP). Las operaciones lógicas pueden
especificarse como igual (eq), desigual (neq), mayor a (gt) y menor a (lt) aquéllas que
efectuarán las ACL extendidas en protocolos específicos. Las ACL extendidas utilizan el
X CAP UPLA
Ing. William Marchand N. 11
número de lista de acceso entre 100 y 199 (también entre 2000 y 2699 en IOS recientes).
El comando ip access-group enlaza una ACL extendida existente a una interfaz.
Recuerde que sólo se permite una ACL por interfaz por protocolo por dirección. El
formato del comando es:
Router(config-if)#ip access-group access-list-number {in | out}
Ubicación de las ACL
Las ACL se utilizan para controlar el tráfico, filtrando paquetes y eliminando el tráfico
no deseado de la red. Otra consideración importante a tener en cuenta al implementar
la ACL es dónde se ubica la lista de acceso. Si las ACL se colocan en el lugar correcto,
no sólo es posible filtrar el tráfico sino también toda la red se hace más eficiente. Si se
tiene que filtrar el tráfico, la ACL se debe colocar en un lugar donde mejore la eficiencia de forma significativa.
En la figura el administrador quiere denegar el tráfico telnet o FTP del segmento LAN
Ethernet del Router A al segmento LAN Ethernet conmutado Fa0/1 en el Router D, y al
mismo tiempo permitir otros tipos de tráfico. Hay varias maneras de cumplir con esta
política. La recomendación es utilizar ACL extendida, especificando las direcciones
origen y destino. Se coloca esta ACL extendida en el Router A. Entonces los paquetes
no atraviesan la Ethernet del Router A, no atraviesan las interfaces seriales de los
Routers B y C, y no entran al Router D. El tráfico con direcciones de origen y destino diferentes todavía puede permitirse.
La regla es colocar las ACL extendidas lo más cerca posible del origen del tráfico
denegado. Las ACL estándar no especifican las direcciones destino, de modo que se
deben colocar lo más cerca posible del destino. Por ejemplo, una ACL estándar se debe colocar en Fa0/0 del Router D para evitar el tráfico desde el Router A.
X CAP UPLA
Ing. William Marchand N. 12
Un administrador solo puede colocar una lista de acceso en el dispositivo que controla.
De este modo, la ubicación de la lista de acceso se determina según hasta dónde se extienda el control del administrador de la red
X CAP UPLA
Ing. William Marchand N. 13
LAN VIRTUALES
Introducción a las VLAN
Una VLAN es una agrupación lógica de estaciones, servicios y dispositivos de red que
no se limita a un segmento de LAN físico.
Las VLAN facilitan la administración de grupos lógicos de estaciones y servidores que
se pueden comunicar como si estuviesen en el mismo segmento físico de LAN.
También facilitan la administración de mudanzas, adiciones y cambios en los miembros de esos grupos.
Las VLAN segmentan de manera lógica las redes conmutadas según las funciones
laborales, departamentos o equipos de proyectos, sin importar la ubicación física de
los usuarios o las conexiones físicas a la red. Todas las estaciones de trabajo y
servidores utilizados por un grupo de trabajo en particular comparten la misma VLAN, sin importar la conexión física o la ubicación.
La configuración o reconfiguración de las VLAN se logra mediante el software. Por lo
tanto, la configuración de las VLAN no requiere que los equipos de red se trasladen o
conecten físicamente. Una estación de trabajo en un grupo de VLAN se limita a
comunicarse con los servidores de archivo en el mismo grupo de VLAN. Las VLAN
segmentan de forma lógica la red en diferentes dominios de broadcast, de manera tal
que los paquetes sólo se conmutan entre puertos y se asignan a la misma VLAN. Las
VLAN se componen de hosts o equipos de red conectados mediante un único dominio
de puenteo. El dominio de puenteo se admite en diferentes equipos de red. Los
switches de LAN operan protocolos de puenteo con un grupo de puente separado para
cada VLAN.
Las VLAN se crean para brindar servicios de segmentación proporcionados
tradicionalmente por routers físicos en las configuraciones de LAN. Las VLAN se
ocupan de la escalabilidad, seguridad y gestión de red. Los routers en las topologías
de VLAN proporcionan filtrado de broadcast, seguridad y gestión de flujo de tráfico.
Los switches no puentean ningún tráfico entre VLAN, dado que esto viola la integridad del dominio de broadcast de las VLAN. El tráfico sólo debe enrutarse entre VLAN.
X CAP UPLA
Ing. William Marchand N. 14
Dominios de broadcast con VLAN y routers
Una VLAN es un dominio de broadcast que se crea en uno o más switches. El diseño
de red en las Figuras y requiere de tres dominios de broadcast separados.
La Figura muestra como los tres dominios de broadcast se crean usando tres
switches. El enrutamiento de capa 3 permite que el router mande los paquetes a tres dominios de broadcast diferentes.
En la Figura , se crea una VLAN con un router y un switch. Existen tres dominios de
broadcast separados. El router enruta el tráfico entre las VLAN mediante enrutamiento
de Capa 3. El switch en la Figura envía tramas a las interfaces del router cuando se presentan ciertas circunstancias:
Si es una trama de broadcast Si está en la ruta a una de las direcciones MAC del router
Si la Estación de Trabajo 1 de la VLAN de Ingeniería desea enviar tramas a la Estación
de Trabajo 2 en la VLAN de Ventas, las tramas se envían a la dirección MAC Fa0/0 del
router. El enrutamiento se produce a través de la dirección IP de la interfaz del router Fa0/0 para la VLAN de Ingeniería.
Si la Estación de Trabajo 1 de la VLAN de Ingeniería desea enviar una trama a la
Estación de Trabajo 2 de la misma VLAN, la dirección MAC de destino de la trama es la de la Estación de Trabajo 2.
La implementación de VLAN en un switch hace que se produzcan ciertas acciones:
El switch mantiene una tabla de puenteo separada para cada VLAN.
X CAP UPLA
Ing. William Marchand N. 15
Si la trama entra en un puerto en la VLAN 1, el switch busca la tabla de
puenteo para la VLAN 1.
Cuando se recibe la trama, el switch agrega la dirección origen a la tabla de
puenteo si es desconocida en el momento.
Se verifica el destino para que se pueda tomar una decisión de envío.
Para aprender y enviar se realiza la búsqueda en la tabla de direcciones para esa VLAN solamente
X CAP UPLA
Ing. William Marchand N. 16
X CAP UPLA
Ing. William Marchand N. 17
Operación de las VLAN
Una VLAN se compone de una red conmutada que se encuentra lógicamente
segmentada. Cada puerto de switch se puede asignar a una VLAN. Los puertos
asignados a la misma VLAN comparten broadcasts. Los puertos que no pertenecen a
esa VLAN no comparten esos broadcasts. Esto mejora el desempeño de la red porque
se reducen los broadcasts innecesarios. Las VLAN de asociación estática se denominan
VLAN de asociación de puerto central y basadas en puerto. Cuando un dispositivo
entra a la red, da por sentado automáticamente que la VLAN está asociada con el
puerto al que se conecta.
Los usuarios conectados al mismo segmento compartido comparten el ancho de banda
de ese segmento. Cada usuario adicional conectado al medio compartido significa que
el ancho de banda es menor y que se deteriora el desempeño de la red. Las VLAN
ofrecen mayor ancho de banda a los usuarios que una red Ethernet compartida basada
en hubs. La VLAN por defecto para cada puerto del switch es la VLAN de
administración. La VLAN de administración siempre es la VLAN 1 y no se puede borrar.
Por lo menos un puerto debe asignarse a la VLAN 1 para poder gestionar el switch.
Todos los demás puertos en el switch pueden reasignarse a VLAN alternadas.
Las VLAN de asociación dinámica son creadas mediante software de administración de
red. Se usa CiscoWorks 2000 o CiscoWorks for Switched Internetworks para crear las
VLAN dinámicas. Las VLAN dinámicas permiten la asociación basada en la dirección
MAC del dispositivo conectado al puerto de switch. Cuando un dispositivo entra a la
red, el switch al que está conectado consulta una base de datos en el Servidor de Configuración de VLAN para la asociación de VLAN.
En la asociación de VLAN de puerto central basada en puerto, el puerto se asigna a
una asociación de VLAN específica independiente del usuario o sistema conectado al
puerto. Al utilizar este método de asociación, todos los usuarios del mismo puerto
deben estar en la misma VLAN. Un solo usuario, o varios usuarios pueden estar
conectados a un puerto y no darse nunca cuenta de que existe una VLAN.
Este método es fácil de manejar porque no se requieren tablas de búsqueda complejas
para la segmentación de VLAN.
Los administradores de red son responsables por configurar las VLAN de forma
estática y dinámica.
Los puentes filtran el tráfico que no necesita ir a los segmentos, salvo el segmento
destino. Si una trama necesita atravesar un puente y la dirección MAC destino es
conocida, el puente sólo envía la trama al puerto de puente correcto. Si la dirección
MAC es desconocida, inunda la trama a todos los puertos en el dominio de broadcast,
o la VLAN, salvo el puerto origen donde se recibió la trama. Los switches se consideran como puentes multipuerto.
X CAP UPLA
Ing. William Marchand N. 18
X CAP UPLA
Ing. William Marchand N. 19
Ventajas de las VLAN
Las VLAN permiten que los administradores de red organicen las LAN de forma lógica
en lugar de física. Ésta es una ventaja clave. Esto permite que los administradores de red realicen varias tareas:
Trasladar fácilmente las estaciones de trabajo en la LAN
Agregar fácilmente estaciones de trabajo a la LAN
Cambiar fácilmente la configuración de la LAN
Controlar fácilmente el tráfico de red Mejorar la seguridad
Configuración de VLAN estáticas
Las VLAN estáticas son puertos en un switch que se asignan manualmente a una
VLAN. Esto se hace con una aplicación de administración de VLAN o configurarse
directamente en el switch mediante la CLI. Estos puertos mantienen su configuración
de VLAN asignada hasta que se cambien manualmente. Este tipo de VLAN funciona bien en las redes que tienen requisitos específicos:
Todos los movimientos son controlados y gestionados.
Existe un software sólido de gestión de VLAN para configurar los puertos.
El gasto adicional requerido para mantener direcciones MAC de estación final y
tablas de filtrado personalizadas no es aceptable.
Las VLAN dinámicas no se basan en puertos asignados a una VLAN específica.
X CAP UPLA
Ing. William Marchand N. 20
Para configurar las VLAN en los switches serie Cisco 2900, se deben aplicar pautas específicas:
La cantidad máxima de VLAN depende del switch.
Una de las VLAN por defecto de fábrica es VLAN1.
La VLAN Ethernet por defecto es VLAN1.
Se envían publicaciones del Protocolo de Descubrimiento de Cisco (CDP) y
Protocolo de Enlace Troncal de VLAN (VTP) en la VLAN 1. (VTP se analiza en el
Módulo 9).
La dirección IP del switch se encuentra por defecto en el dominio de broadcast
de la VLAN 1.
El switch debe estar en el modo de servidor VTP para crear, agregar o borrar
VLAN.
La creación de una VLAN en un switch es una tarea muy directa y simple. Si se usa un
switch basado en comandos del IOS, se puede usar el comando vlan database en el
modo EXEC privilegiado para entrar al modo de configuración de VLAN. También se puede configurar un nombre de VLAN, de ser necesario:
Switch#vlan database
Switch(vlan)#vlan vlan_number
Switch(vlan)#exit
Al salir, se aplica la VLAN al switch. El paso siguiente es asignar la VLAN a una o más
interfaces:
Switch(config)#interface fastethernet 0/9
Switch(config-if)#switchport access vlan vlan_number
Verificación de la configuración de VLAN
Se aplican los siguientes hechos a las VLAN:
Una VLAN creada permanece sin usar hasta que se la asigna a puertos de
switch. Todos los puertos Ethernet son asignados a VLAN 1 por defecto.
La Figura muestra una lista de comandos aplicables.
La Figura muestra los pasos necesarios para asignar una nueva VLAN a un puerto en el switch de Sydney.
Las Figuras y muestran el resultado de los comandos show vlan y show vlan
brief .
X CAP UPLA
Ing. William Marchand N. 21
X CAP UPLA
Ing. William Marchand N. 22
Eliminación de VLAN
En la Figura , se asignó Fastethernet 0/9 a la VLAN 300 con el comando switchport
access vlan 300 . Para eliminar esta VLAN de la interfaz, basta con usar la forma no del comando.
X CAP UPLA
Ing. William Marchand N. 23
El comando que aparece a continuación se utiliza para eliminar una VLAN de un switch:
Switch#vlan database
Switch(vlan)#no vlan 300
Cuando se elimina una VLAN, todos los puertos asignados a esa VLAN quedan
inactivos. Los puertos, sin embargo, quedan asociados a la VLAN eliminada hasta que se los asigna a una nueva VLAN
Protocolo de enlace troncal de VLAN
Conceptos de enlace troncal
un enlace troncal es una conexión física y lógica entre dos switches a través de la cual
se transmite el tráfico de red. Es un único canal de transmisión entre dos puntos. Generalmente, los dos puntos son centros de conmutación.
En una red conmutada, un enlace troncal es un enlace punto a punto que admite
varias VLAN. El propósito de un enlace troncal es conservar los puertos cuando se crea
un enlace entre dos dispositivos que implementan las VLAN. La Figura
muestra dos VLAN compartidas entre los switches Sa y Sb. Cada switch usa dos
enlaces físicos de modo que cada puerto transporta tráfico para una sola VLAN. Ésta
es una forma sencilla de implementar la comunicación entre las VLAN de diferentes switches, pero no funciona bien a mayor escala.
X CAP UPLA
Ing. William Marchand N. 24
La adición de una tercera VLAN requiere el uso de dos puertos adicionales, uno para
cada switch conectado. Este diseño también es ineficiente en lo que se refiere al
método de compartir la carga. Además, el tráfico en algunas de las VLAN puede no
justificar un enlace dedicado. El enlace troncal agrupa múltiples enlaces virtuales en
un enlace físico. Esto permite que el tráfico de varias VLAN viaje a través de un solo cable entre los switches.
Un enlace troncal se puede comparar con las carreteras de distribución de una
autopista. Las carreteras que tienen distintos puntos de inicio y fin comparten una
autopista nacional principal durante algunos kilómetros, luego se vuelven a dividir
para llegar a sus destinos individuales. Este método es más económico que la
construcción de una carretera entera desde el principio al fin para cada destino
conocido o nuevo
Operación del enlace troncal
Las tablas de conmutación en ambos extremos del enlace troncal se pueden usar para
tomar decisiones de envío basadas en las direcciones MAC destino de las tramas. A
medida que aumenta la cantidad de VLAN que viajan a través del enlace troncal, las
decisiones de envío se tornan más lentas y más difíciles de administrar. El proceso de
decisión se torna más lento dado que las tablas de conmutación de mayor tamaño tardan más en procesarse.
X CAP UPLA
Ing. William Marchand N. 25
Los protocolos de enlace troncal se desarrollaron para administrar la transferencia de
tramas de distintas VLAN en una sola línea física de forma eficaz. Los protocolos de
enlace troncal establecen un acuerdo para la distribución de tramas a los puertos
asociados en ambos entremos del enlace troncal.
Los dos tipos de mecanismos de enlace troncal que existen son el filtrado de tramas y
el etiquetado de tramas. La IEEE adoptó el etiquetado de tramas como el mecanismo estándar de enlace troncal.
Los protocolos de enlace troncal que usan etiquetado de tramas logran un envío de tramas más veloz y facilitan la administración.
El único enlace físico entre dos switches puede transportar tráfico para cualquier
VLAN. Para poder lograr esto, se rotula cada trama que se envía en el enlace para
identificar a qué VLAN pertenece. Existen distintos esquemas de etiquetado. Los dos
esquemas de etiquetado más comunes para los segmentos Ethernet son ISL y 802.1Q:
ISL – Un protocolo propietario de Cisco
802.1Q – Un estándar IEEE que es el punto central de esta sección
VLANs y enlace troncal
Se usan protocolos, o normas, específicos para implementar los enlaces troncales. El
enlace troncal proporciona un método eficaz para distribuir la información del identificador de VLAN a otros switches.
Los dos tipos de mecanismos de enlace troncal estándar que existen son el etiquetado
de tramas y el filtrado de tramas. En esta página se explica cómo se puede usar el
etiquetado de tramas para ofrecer una solución más escalable para la implementación
X CAP UPLA
Ing. William Marchand N. 26
de las VLAN. El estándar IEEE 802.1Q establece el etiquetado de tramas como el método para implementar las VLAN.
El etiquetado de trama de VLAN se ha desarrollado específicamente para las
comunicaciones conmutadas. El etiquetado de trama coloca un identificador único en
el encabezado de cada trama a medida que se envía por todo el backbone de la red. El
identificador es comprendido y examinado por cada switch antes de enviar cualquier
broadcast o transmisión a otros switches, routers o estaciones finales. Cuando la
trama sale del backbone de la red, el switch elimina el identificador antes de que la
trama se transmita a la estación final objetivo. El etiquetado de trama funciona a nivel de Capa 2 y requiere pocos recursos de red o gastos administrativos.
Es importante entender que un enlace troncal no pertenece a una VLAN específica. Un enlace troncal es un conducto para las VLAN entre los switches y los routers.
ISL es un protocolo que mantiene la información de VLAN a medida que el tráfico fluye
entre los switches. Con ISL, la trama Ethernet se encapsula con un encabezado que
contiene un identificador de VLAN
Introducción al enrutamiento entre VLAN
Cuando el host en un dominio de broadcast desea comunicarse con un host en otro
dominio de broadcast, debe utilizarse un router.
El puerto 1 en un switch forma parte de la VLAN 1 y el puerto 2 forma parte de la
VLAN 200. Si todos los puertos de switch formaran parte de la VLAN 1, es posible que
los hosts conectados a estos puertos puedan comunicar entre sí. Sin embargo, en este
caso, los puertos forman parte de distintas VLAN, la VLAN 1 y la VLAN 200. Se debe
utilizar un router si los hosts de las distintas VLAN necesitan comunicarse entre sí.
La ventajas más importante del enrutamiento es su probado historial de facilitar la
administración de redes, especialmente de grandes redes. Aunque la Internet sirva de
ejemplo obvio, este punto es válido para cualquier tipo de red, como por ejemplo un
backbone de campus de gran tamaño. Dado que los routers evitan la propagación de
X CAP UPLA
Ing. William Marchand N. 27
broadcast y utilizan algoritmos de envío más inteligentes que los puentes y los
switches, los routers ofrecen un uso más eficiente del ancho de banda. Esto da como
resultado simultáneamente una selección de ruta flexible y óptima. Por ejemplo, es
muy fácil implementar el equilibrio de carga a través de varias rutas en la mayoría de
las redes cuando se realiza el proceso de enrutamiento. Por otra parte, el equilibrio de carga de la Capa 2 puede resultar muy difícil de diseñar, implementar y mantener.
Si una VLAN abarca varios dispositivos se utiliza un enlace troncal para interconectar
los dispositivos. El enlace troncal transporta el tráfico para varias VLAN. Por ejemplo,
un enlace troncal puede conectar un switch a otro switch, un switch a un router entre VLAN o un switch a un servidor instalando una NIC especial que admite enlace troncal.
Recuerde que cuando un host en una VLAN desea comunicarse con un host de otra VLAN, se debe utilizar un router.
Problemas y soluciones entre VLAN
Cuando las VLAN se conectan entre sí, surgen algunos problemas técnicos. Dos de los
problemas más comunes que pueden surgir en un entorno de varias VLAN son los siguientes:
La necesidad de que los dispositivos de usuario final alcancen hosts no locales Las necesidad de que los hosts en distintas VLAN se comuniquen entre sí
Cuando un router necesita realizar una conexión a un host remoto, verifica su tabla de
enrutamiento para determinar si existe alguna ruta conocida. Si el host remoto entra
en una subred que sabe cómo llegar al destino, el sistema verifica si puede conectarse
a través de esta interfaz. Si todas las rutas conocidas fallan, el sistema tiene una
X CAP UPLA
Ing. William Marchand N. 28
última opción, la ruta por defecto. Esta ruta es un tipo especial de ruta gateway y por
lo general es la única que está presente en el sistema. En un router, un asterisco (*)
permite indicar una ruta por defecto en el resultado del comando show ip route .
Para los hosts en una red de área local, este gateway se establece en cualquier
máquina que tiene conexión directa con el mundo exterior y corresponde al Gateway
por defecto que aparece en las configuraciones TCP/IP de la estación de trabajo. Si la
ruta por defecto se configura para un router que está funcionando como gateway para
la Internet pública, entonces la ruta por defecto apuntará a la máquina de gateway en
un sitio de proveedor de servicios Internet (ISP). Las rutas por defecto se implementan usando el comando ip route .
Router(Config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1
En este ejemplo, 192.168.1.1 es el gateway. La conectividad entre VLAN se puede lograr a través de una conectividad lógica o física.
La conectividad lógica involucra una conexión única, o un enlace troncal, desde el
switch hasta el router. Ese enlace troncal puede admitir varias VLAN. Esta topología se
denomina "router en un palo" porque existe una sola conexión al router. Sin embargo, existen varias conexiones lógicas entre el router y el switch.
La conectividad física implica una conexión física separada para cada VLAN. Esto significa una interfaz física separada para cada VLAN.
Los primeros diseños de VLAN se basaban en routers externos conectados a switches
que admitían VLAN. En este enfoque, los routers tradicionales se conectan a una red
conmutada a través de uno o más enlaces. Los diseños de "router en un palo"
emplean un enlace troncal único que conecta el router al resto de la red campus.
El tráfico entre VLANs debe atravesar el backbone de Capa 2 para alcanzar el router
desde donde podrá desplazarse entre las VLAN. El tráfico viaja entonces de vuelta
hacia la estación final deseada utilizando el método de envío de Capa 2 normal. Este flujo de ida y vuelta es característico de los diseños de "router en un palo".
Interfaces físicas y lógicas
En una situación tradicional, una red con cuatro VLAN requeriría cuatro conexiones
físicas entre el switch y el router externo.
A medida que las tecnologías como por ejemplo el Enlace inter-switch (ISL) se vuelven
más comunes, los diseñadores de red empiezan a utilizar enlaces troncales para
conectar los routers a los switches. A pesar de que se puede utilizar cualquier
tecnología de enlace troncal como por ejemplo ISL, 802.1Q, 802.10 o la emulación
LAN (LANE), los enfoques basados en Ethernet como por ejemplo ISL y 802.1Q son más comunes.
El protocolo propietario de Cisco ISL así como el estándar 802.1q de varios
vendedores IEEE, se utilizan para efectuar el enlace troncal de las VLAN en los enlaces Fast Ethernet.
La línea sólida en el ejemplo se refiere a un enlace físico único entre el switch Catalyst
y el router. Se trata de la interfaz física que conecta el router al switch.
A medida que aumenta la cantidad de VLAN en una red, el enfoque físico de tener una
interfaz de router por VLAN se vuelve rápidamente inescalable. Las redes con muchas
X CAP UPLA
Ing. William Marchand N. 29
VLAN deben utilizar el enlace troncal de VLAN para asignar varias VLAN a una interfaz de router única.
Las líneas punteadas en el ejemplo se refieren a los distintos enlaces lógicos que se
ejecutan a través de este enlace físico utilizando subinterfaces. El router puede admitir
varias interfaces lógicas en enlaces físicos individuales. Por ejemplo, la interfaz física
FastEthernet 1/0 podría soportar tres interfaces virtuales denominadas FastEthernet 1/0.1, 1/0.2 y 1/0.3.
La ventaja principal del uso del enlace troncal es una reducción en la cantidad de
puertos de router y switch que se utiliza. Esto no sólo permite un ahorro de dinero
sino también reduce la complejidad de la configuración. Como consecuencia, el
enfoque de router conectado a un enlace troncal puede ampliarse hasta un número mucho más alto de VLAN que el diseño de "un enlace por VLAN".
X CAP UPLA
Ing. William Marchand N. 30
División de interfaces físicas en subinterfaces
Una subinterfaz es una interfaz lógica dentro de una interfaz física, como por ejemplo
la interfaz Fast Ethernet en un router.
Pueden existir varias subinterfaces en una sola interfaz física.
Cada subinterfaz admite una VLAN y se le asigna una dirección IP. Para que varios
dispositivos en una misma VLAN se puedan comunicar, las direcciones IP de todas las
subinterfaces en malla deben encontrarse en la misma red o subred. Por ejemplo, si la
subinterfaz FastEthernet 0/0.1 tiene una dirección IP de 192.168.1.1 entonces
192.168.1.2, 192.168.1.3 y 192.1.1.4 son las direcciones IP de dispositivos conectados a la subinterfaz FastEthernet 0/0.1.
Para poder establecer una ruta entre las distintas VLAN con subinterfaces, se debe crear una subinterfaz para cada VLAN
X CAP UPLA
Ing. William Marchand N. 31
Configuración de un enrutamiento entre distintas VLAN
X CAP UPLA
Ing. William Marchand N. 32
Antes de implementar cualquiera de estos comandos, debe verificarse cada router y
switch para comprobar qué encapsulamientos de VLAN admiten. Los switches Catalyst
2950 han admitido el enlace troncal 802.1q desde que se lanzó al mercado la versión
12.0(5.2)WC(1) de Cisco IOS, pero no admiten el enlace troncal Inter-Switch (ISL).
Para que el enrutamiento entre VLAN funcione correctamente, todos los routers y switches involucrados deben admitir el mismo encapsulamiento.
En un router, una interfaz se puede dividir lógicamente en varias subinterfaces
virtuales. Las subinterfaces ofrecen una solución flexible para el enrutamiento de
varias corrientes de datos a través de una interfaz física única. Para definir las subinterfaces en una interfaz física, realice las siguientes tareas:
Identifique la interfaz.
Defina el encapsulamiento de la VLAN. Asigne una dirección IP a la interfaz.
Para identificar la interfaz utilice el comando interface en el modo de configuración
global.
Router(config)#interface fastethernet port-number. subinterface-number
port-number identifica la interfaz física y subinterface-number identifica la interfaz
virtual.
El router debe poder comunicarse con el switch utilizando un protocolo de enlace
troncal estandarizado. Esto significa que ambos dispositivos conectados entre sí deben
comprenderse. En el ejemplo, se utiliza 802.1Q. Para definir el encapsulamiento de la
VLAN, introduzca el comando encapsulation en el modo de configuración de interfaz.
Router(config-if)#encapsulation dot1q vlan-number
vlan-number identifica la VLAN para la cual la subinterfaz transportará el tráfico. Se
agrega un ID de VLAN a la trama sólo cuando la trama está destinada a una red no
local. Cada paquete de VLAN transporta el ID de VLAN dentro del encabezado del paquete.
Para asignar una dirección IP a la interfaz, introduzca el siguiente comando en el
modo de configuración de interfaz.
Router(config-if)#ip address ip-address subnet-mask
ip-address y subnet-mask son las direcciones y la máscara de red de 32 bits de la
interfaz específica.
En el ejemplo, el router tiene tres subinterfaces configuradas en la interfaz Fast
Ethernet 0/0. Estas tres subinterfaces se identifican como 0/0.1, 0/0.2 y 0/0.3. Todas
las interfaces se encapsulan para 802.1q. La interfaz 0/0.1 enruta paquetes para la
VLAN 1, mientras que la interfaz 0/0.2 enruta paquetes para la VLAN 20 y la interfaz 0/0.3 enruta paquetes para la VLAN 30
X CAP UPLA
Ing. William Marchand N. 33